|
Sécurité des systèmes d'information Normes Le management de la sécurité des SI enfin normalisé par l’AFNOR ! Une norme qui met en place des facteurs d’amélioration de la sécurité
Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2). Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi, l'adoption d'une approche « processus » pour l'établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l'amélioration d’un SMSI. Elle applique les principes de la qualité à la sécurité de l'information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.
Pour cela, l’entreprise doit identifier une méthodologie d'appréciation du risque adaptée à son SMSI, ainsi qu'à la sécurité de l'information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)]. Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d'appréciation du risque et de traitement du risque. Cette sélection doit tenir compte des critères d'acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)]. Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice. (1) NF ISO/CEI 27001 : 2007-12. (2) "Planifier-Déployer-Contrôler-Agir" ou roue de Deming. Paru dans la JTIT n°71/2007 Bientôt une norme NF sur les systèmes de management de la sécurité informatique…
Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la "Commission Générale des Technologies de l'Information". Cette commission est une structure ouverte qui rassemble, sur la base d'un engagement volontaire, des industriels de l'informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l'administration, groupements d'utilisateurs. Après traitement des résultats de l'enquête, la norme sera alors l'homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l'instruction de projets de normes paru au JO du 1er juillet 2007 Respecter l’état de l’art en matière de sécurité des systèmes d’information
Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l'art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l'information, la norme ISO/CEI 27001 dont le titre est « Technologies de l'information -Techniques de sécurité -Systèmes de gestion de sécurité de l'information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d'une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l'entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI. (1) Chantier qui va réformer le système international bancaire à l'échéance de 2007 (2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003 (3) Elle définit l'ensemble des tests et contrôles à effectuer pour s'assurer du bon respect d'ISO/CEI 17799. Paru dans la JTIT n°50/2006 p.3 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Informations légales et CGU Téléright | © 1997-2008 Alain Bensoussan Avocats. Tous droits réservés. |
